VIGO 25 Oct. (EUROPA PRESS) -
A Fiscalía Provincial de Pontevedra decretou a presentación de denuncia ante o xulgado pertinente en relación ao suposto pago dun rescate de case 200.000 euros por parte do Concello de Cangas, após o ciberataque sufrido en maio do 2023, que afectou aos seus sistemas informáticos, ao ver indicios dos delitos de prevaricación, malversación, danos informáticos e coaccións.
A investigación da Fiscalía iniciouse en marzo de 2024, após a presentación dunha denuncia por parte do grupo municipal do PP (á que se sumou posteriormente o partido Alternativa dous Veciños de Cangas, da exalcaldesa Victoria Portas, que era a rexedora cando se produciu o ciberataque).
Os denunciantes advertían de posibles irregularidades nun contrato cunha empresa informática, porque sospeitaban que o diñeiro se destinaba ao pago dun 'rescate' aos autores do ciberataque, a pesar de que o expediente reflectía como obxecto "servizos de auditoría de descifrado e recuperación de ransonware".
O ciberataque produciuse en maio de 2023 e a entón alcaldesa, Victoria Portas, denunciouno ante a Garda Civil. Semanas despois, xa cun novo goberno municipal após as eleccións, liderado por Araceli Gestido (BNG), contratouse por algo máis de 5.000 euros unha asistencia técnica a unha empresa para facer un estudo dos sistemas afectados polo ataque. Nese estudo, a empresa non conseguiu resolver o problema.
Un mes despois, e polo procedemento de contratación urxente, volveuse a encargar á mesma empresa, por un importe de 197.843 euros, outro contrato para "servizos de auditoria de descifrado e recuperación de ransonware". Após a firma do contrato, conseguiuse o desencriptado na maioría de arquivos afectados, e a empresa elaborou un informe, "sen data nin firma", no que recoñecía que negociara cos autores do ciberataque e procedera ao pago do rescate en bitcoins, un tipo de criptomoneda.
Após requirir diversa documentación ao Concello e á empresa, e após tomar declaración aos técnicos da devandita empresa, ao responsable informático municipal e ao interventor, o Fiscal concluíu que "hai indicios suficientes" de que os responsables do Concello sabían que ese segundo contrato adxudicado á empresa tiña como finalidade o pago da cantidade negociada cos autores do ciberataque.
Así, o representante do ministerio público sostén que, aínda que o responsable da empresa asegurou que a negociación cos delincuentes foi idea súa e non foi comunicada ao Concello, non sería lóxico volver adxudicarlles un contrato, por un importe moito maior, despois de que no primeiro encargo que lle fixeron a empresa fracasase no seu intento de solucionar o problema.
Ademais, a Fiscalía tamén sinala que a factura de máis de 197.000 euros foi emitida pola empresa o día antes de que a Alcaldía resolvese a adxudicación, e que o mesmo día da adxudicación (23 de xuño de 2023), procedeuse ao pago da factura "a pesar de que o contrato tiña un período de execución de 3 meses".
Por outra banda, na documentación achegada polos denunciantes, aparecen outras dúas facturas pagas polo Concello á empresa informática, por "xestión negociación recuperación de datos" e por "minuta negociación e dirección horas Marcos, encriptado Concello Cangas". Ambas as facturas aparecen na listaxe como anuladas, pero posteriormente aparecen contabilizadas cos mesmos importes, aínda que en ambas "desaparece a expresión 'negociación' do concepto".
A iso súmase o feito de que, ao ver os movementos da conta onde se fixo o ingreso, aprécianse varias transferencias realizadas cunha "inmediatez" que, segundo o Fiscal, "revela que o prezo do rescate xa estaría fixado nesa data".
CATRO POSIBLES DELITOS
Por todo iso, o Fiscal conclúe que estes feitos poderían ser constitutivos dun delito de prevaricación administrativa, porque se adxudicou un contrato público "a propósito de que o seu obxecto era o ilegal pago dun rescate aos autores do ataque informático", e dun posible delito de malversación de fondos públicos, ao facerse o pago con diñeiro público.
Ademais, expón tamén que "subxace a existencia dun delito de danos informáticos e outro de coaccións".
Por todo isto, o Fiscal acordou arquivar as dilixencias de investigación preprocesal iniciadas en marzo e formular denuncia ante o xulgado competente, ao obxecto de que se proceda a incoar dilixencias previas para a investigación dos feitos.
Andalucía
Aragón
Cantabria
Castilla-La Mancha
Castilla y León
Catalunya
Extremadura
Galicia
Islas Canarias
Islas Baleares
Madrid
País Vasco
La Rioja
C. Valenciana
Navarra
Asturias
Murcia
Ceuta y Melilla
